Okta警告近期多個美國用戶出現針對IT服務人員的社交工程攻擊。這些威脅行為者會打電話給IT人員,然後要求重置高許可權用戶註冊的所有多因素身份驗證(MFA)因子,從而開始濫用Okta超級管理員帳戶的最高許可權,冒充受感染組織內的使用者。Okta表示,這些活動發生在2023年7月29日至8月19日之間。
雖然Okta沒有透露威脅參與者的身份,但其使用的攻擊戰術符合名為Muddled Libra的活動的所有特徵,據說它與Scattered Spider和Scatter Swine也有一定的關聯。
這些攻擊的核心是一個名為 0ktapus 的商業網路釣魚工具包,它提供預製範本來建立逼真的虛假身份驗證門戶,並最終獲取憑證和多因素身份驗證(MFA)程式碼。它還通過Telegram整合了一個內置的命令與控制 (C2) 通道。
Palo Alto Networks Unit42曾在 2023 年 6 月警告,有多個惡意駭客組織將0ktapus添加武器庫中。但僅使用 0ktapus 釣魚工具包並不一定能將威脅行為體歸類為 “Muddled Libra。Unit42還無法找到足夠的關於目標定位、持續性或目的的資料,以確認該行為體與Mandiant 追蹤的一個未分類組織 UNC3944 之間的關聯。據了解,該組織也採用類似的手法。
Trellix指出,Scattered Spider 主要針對電信和業務流程外包(BPO)組織。然而,最近的活動表明這個組織已經開始瞄準其他行業,包括關鍵基礎設施組織。
在最新的一組攻擊中,威脅分子已經掌握了屬於特權使用者帳戶的密碼,或者能夠通過Active Directory操縱身份驗證流程,然後再致電攻擊目標公司的 IT 人員,要求重置與帳戶相關的所有 MFA 因子。
相關文章: 新型入侵和社交工程手法: 攻擊鏈結合電話和 email
超級管理員帳戶的存取權限隨後被用來為其他帳戶分配更高的許可權,重置現有管理員帳戶中的註冊驗證器,甚至在某些情況下從驗證策略中移除第二要素要求。
Okta建議客戶執行防堵網路釣魚身份驗證,加強IT身份驗證流程,啟用新設備和可疑活動通知,並審查和限制超級管理員角色使用,防範此類攻擊。
本文節錄自The HackerNews。